29.11.2012 07:00
Erneut Account-Klau bei WhatsApp möglich
Bei einem Test von heise Security stellte sich heraus, dass man WhatsApp-Accounts erneut mit geringem Aufwand kapern kann. Wir konnten unbemerkt Nachrichten im Namen anderer WhatsApp-Nutzer senden und empfangen. Auf den Android-Smartphones der Test-Opfer war die derzeit aktuelle Version 2.8.7326 der Nachrichten-App installiert. Der Account-Klau hat bereits vor rund zwei Monaten funktioniert, bis die aktuelle WhatsApp-Version herauskam. Diese galt bislang als sicher, weil die bisherigen Methoden zur Account-Übernahme nicht mehr funktionierten.
Da WhatsApp-Accounts unzureichend geschützt sind, kann man im fremden Namen Nachrichten senden und empfangen. Hierzu braucht man nur die Handynummer und die IMEI des Nutzers.
Für die Account-Übernahme benötigten wir lediglich die Handynummer des Nutzers und die Seriennummer (IMEI) seines Smartphones – das sind beides Informationen, an die man leicht herankommt. Das eingesetzte Skript hat uns ein Leser zur Verfügung gestellt. Es generiert aus der IMEI das zur Anmeldung am WhatsApp-Server nötige Passwort.
Man muss davon ausgehen, dass auch die WhatsApp-Versionen für andere Smartphone-Betriebssysteme noch auf ähnliche Weise verwundbar sind. Bei unserem Test mit der Vorversion gelang der Account-Klau auch bei iOS-Nutzern. Der Betreiber macht keine Angaben darüber, was sich in puncto Sicherheit seitdem getan hat. Frei nach dem Motto: Security through Obscurity.
Obwohl WhatsApp in der Vergangenheit auf keine unserer Presseanfragen reagiert hat, haben wir das Unternehmen auch dieses Mal wieder über das Sicherheitsproblem informiert. Nach einigen Tagen erhielten wir tatsächlich eine Antwort von einer Person, die laut Medienberichten als einer der beiden Gründer von WhatsApp gilt. Sie erkundigte sich formlos, welche Version der App betroffen ist, worauf wir auch umgehend antworteten. Seitdem herrscht wieder Funkstille.
Um das Abdichten der Lücke zu beschleunigen, haben wir dem WhatsApp-Chef angeboten, ihm sämtliche uns vorliegenden Details über die Schwachstelle und das zum Account-Klau genutzte Skript zur Verfügung zu stellen. Seitdem sind mehrere Tage vergangen – zu unserer Verwunderung hat WhatsApp bislang nicht um die Zusendung der Informationen gebeten.
Wenn man Revue passieren lässt, wie WhatsApp bislang mit dem Thema Sicherheit umgegangen ist, kann man eigentlich nur noch von der Nutzung des Dienstes abraten. Alternativen mit einer ähnlichen großen Nutzergemeinde sind Skype oder Facebook. Oder aber man benutzt E-Mail oder SMS – diese Techniken sind hinreichend dokumentiert, weshalb sich jedermann ein eigenes Bild von den Nutzungsrisiken machen kann.
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
